证明不总是能衡量您的防御姿态

根据定义，证明是使某事显而易见的指示。在安全的情况下，特别是安全程序中，它意味着以官方身份进行认证。

人们常常问我什么是一个好的安全程序。尽管我很想指出我的安全周边的一个方面作为例子，但有多个事项需要强调。行业依赖证明和认证来衡量您的安全防御。工程师和操作人员会告诉您，您实际的安全周边和威胁评估能力定义了您的安全程序。我会告诉您，既是合规证明作为衡量标准，也是您的安全团队的操作能力定义了您的程序。然而，仅靠证明并不是衡量一个程序的准确基准。

证明是确保遵守联邦、地方和州法规以及行业最佳实践的行业必要性。ISO、NIST或国防部标准构成了大多数证明的基础。例如，NIST发布了一套标准和技术指南，以帮助组织建立“可接受”的周界防御。然而，正如我将要概述的，标准的设定并不意味着实施总是出色。

工具的部署并不意味着它提供价值

控件允许在实施和运营增长及创新方面提供灵活性。不幸的是，一些组织利用这种灵活性来形式上达到标准，却没有实际的防御措施。

这个问题的一个典型例子是入侵检测/防护系统（IDS或IPS）。像病毒扫描器一样，大多数组织将IDS/IPS作为标准安全实践来防范恶意流量和数据外泄，该行业充斥着提供各种形式的IDS/IPS系统的供应商。然而，一些组织选择自己建造系统，而不是购买。

我最近离开了一个这样的组织，他们从开源工具“构建”了自己的入侵检测系统。审计员被告知该系统是一个“绝佳工具”，甚至还提供了流量的示例。当我深入挖掘该工具提供的遥测数据时，我意识到根本没有分析流量。实际上，流量直接通过传感器，而该传感器并未配置为捕获任何流量或发出任何警报。此外，用于管理该工具的凭证是由前员工设置的，自他离职后从未更新。因此，该工具实际上闲置了几个月，而没有任何人为干预。这不仅使公司面临风险，而且还危及了周边防御。

一个精明的审计员不会发现这个问题，因为证明并不寻找所有系统上的“操作”信息——标准仅仅是一个问答的层级。事实上，大多数证明只是简单地衡量工具是否存在，而不是操作的可行性。此外，大多数审计员的技术水平不足以分辨功能性IDS/IPS和非功能性IDS/IPS。审计的关键依赖于公司将最佳的一面展现出来，而不仅仅是回答困难的问题。审计员在审计期间还必须覆盖大量控件，因此时间因素对他们分析质量有着重要影响。

单靠证明就能告诉您一家公司拥有成熟的安全程序和控件。要求潜在合作伙伴完成供应商调查也不会给您信心。调查只是以不同格式概述相同的信息。那么，您如何评估一个成熟的安全程序呢？

评估整个云安全程序

首先，您应该至少查看证明和发现报告，而不是执行摘要。这将为您提供第三方审查的程序概述。其次，您绝对应该查看该公司是否进行了第三方渗透测试或漏洞奖励计划。我个人并不喜欢漏洞奖励，但我支持每年进行一次第三方渗透测试。渗透测试为您提供对防御的结构化测试和关于漏洞的真实反馈。最后，查看该公司作为实施基础所使用的安全文档（通常是目录）。这包括（但不局限于）安全政策、事件响应和漏洞管理。经验丰富的安全团队会主动分享这些文档和材料，作为正常业务的一部分。

我非常重视从访问公司数据的角度评估每个供应商和合作伙伴。也就是说，如果合作伙伴或供应商管理公司数据，他们将受到比不管理数据的供应商更多的审查。在评估安全程序时请记住商业目的。我会查看商业目的和涉及的信息类型，然后从这个角度进行评估，而不是一视同仁地处理所有合作伙伴和供应商。在怀疑时，始终询问更多信息。